Con solo mirar un banner, el móvil queda infectado: cómo Intellexa industrializó el hackeo de smartphones sin un solo clic
Ni la prudencia ni evitar enlaces sospechosos salvan a la víctima: la higiene digital ya no basta.
Una investigación conjunta de tres medios (Inside Story, Haaretz y WAV Research Collective) reveló una nueva forma de entrega encubierta de software espía comercial que amplía las capacidades de vigilancia y hace que los ataques pasen desapercibidos para la víctima. Los materiales filtrados muestran la estructura de la infraestructura publicitaria por la que se distribuye la herramienta Predator de la empresa Intellexa, que desde hace tiempo preocupa a los especialistas en seguridad digital.
Según la filtración de documentos internos de Intellexa y del conjunto de material de marketing asociado, en el arsenal de la empresa apareció el mecanismo «Aladdin», que opera a través de redes publicitarias móviles. Se empleó por primera vez en 2024 y, según analistas técnicos de organizaciones de derechos humanos y tecnológicas, continúa desarrollándose activamente.
Su particularidad es que basta con que el anuncio malicioso se cargue en la página de un sitio: la simple visualización es condición suficiente para la infección. La colocación de ese anuncio se realiza mediante un sistema DSP, orientándose por la dirección IP y otras señales de red del objetivo. Google advierte que la visualización conduce a una redirección a los servidores de Intellexa, donde se desencadena la cadena posterior de explotación.
El tráfico publicitario circula por una amplia red de empresas registradas en varios países de Europa y del Medio Oriente. Los analistas de Recorded Future compararon los datos de la filtración con la infraestructura pública y señalaron firmas y personas vinculadas a la entrega de los anuncios maliciosos. El bloqueo de la publicidad en el navegador y la ocultación de la IP pública pueden dificultar el ataque, pero los documentos de Intellexa confirman que los operadores móviles de determinados países pueden facilitar información que permita eludir esas medidas.
De forma independiente en la filtración figura el mecanismo «Triton», dirigido a dispositivos basados en Samsung Exynos. Aprovcha vulnerabilidades en el módem y el cambio forzado a 2G, creando condiciones para la infección. También se mencionan desarrollos denominados «Tor» y «Oberon», presumiblemente relacionados con canales de radio o con ataques que requieren acceso físico.
Según Google, Intellexa sigue siendo uno de los grupos comerciales de espionaje más activos que emplean vulnerabilidades hasta entonces desconocidas: representa una parte considerable de los incidentes confirmados en los últimos años. La empresa combina desarrollos propios con la compra de cadenas de explotación de terceros.
A pesar de las sanciones y las inspecciones en Grecia, la actividad de Intellexa no ha disminuido, indican Amnistía Internacional. A medida que las herramientas de vigilancia se vuelven más complejas, las plataformas móviles ofrecen modos de protección adicionales, como Advanced Protection para Android y Lockdown Mode para iOS, que resultan cada vez más relevantes ante amenazas de este tipo.
¿Estás cansado de que Internet sepa todo sobre ti?